React服务器组件爆出高危漏洞：服务中断与源代码泄露风险激增

React团队近日紧急发布了针对React服务器组件（RSC）中新发现的安全漏洞的修复补丁。这些漏洞如果被成功利用，可能导致拒绝服务（DoS）攻击或源代码泄露。

React团队指出，这些新问题是由安全社区成员在尝试利用先前一个已被武器化的高危漏洞CVE-2025-55182的补丁时发现的。该漏洞的CVSS评分高达10.0分，已发现在野利用。

漏洞详情

此次披露的三个新漏洞及其影响如下：

CVE-2025-55184（CVSS评分：7.5）：一个存在于react-server-dom-parcel、react-server-dom-turbopack和react-server-dom-webpack版本19.0.0至19.2.1中的拒绝服务漏洞。该漏洞源于对发送至服务器函数端点的HTTP请求负载进行不安全的反序列化，会触发无限循环，导致服务器进程挂起，并可能阻止处理后续的HTTP请求。
CVE-2025-67779（CVSS评分：7.5）：这是对CVE-2025-55184漏洞的一个不完整修复，其影响与前者相同。
CVE-2025-55183（CVSS评分：5.3）：一个信息泄露漏洞。攻击者向存在漏洞的服务器函数发送特制的HTTP请求，可能导致服务器函数的源代码被返回。

需要注意的是，成功利用CVE-2025-55183漏洞需要满足一个前提条件：环境中必须存在一个服务器函数，该函数显式或隐式地暴露了一个已被转换为字符串格式的参数。

此次披露的漏洞影响了以下版本的react-server-dom-parcel、react-server-dom-turbopack和react-server-dom-webpack库：

CVE-2025-55184 和 CVE-2025-55183：影响版本包括 19.0.0、19.0.1、19.1.0、19.1.1、19.1.2、19.2.0 和 19.2.1。
CVE-2025-67779：影响版本包括 19.0.2、19.1.3 和 19.2.2。

安全研究人员RyotaK和Shinsaku Nomura通过Meta漏洞赏金计划报告了两个DoS漏洞，Andrew MacPherson则报告了信息泄露漏洞。

React团队强烈建议用户尽快将受影响的库升级到已修复的安全版本：

升级行动应立即执行，特别是考虑到针对先前漏洞CVE-2025-55182的活跃利用尝试仍在进行中。

React团队对此类连续披露的漏洞解释道：“当披露一个关键漏洞时，研究人员会仔细检查相邻的代码路径，寻找变体利用技术，以测试最初的缓解措施是否可以被绕过。这种模式在整个行业中都存在，不仅仅是在JavaScript生态中。额外的漏洞披露可能会令人沮丧，但它们通常是一个健康响应周期的标志。”

用户应尽快评估自身系统是否受影响，并立即应用安全更新，以防范潜在的DoS攻击和源代码泄露风险。